Datenschutz vs. Corona: Die Datenschutzkonferenz (DSK) erlässt einen Hinweis zu Datenschutz und Corona-Pandemie
Die Atemwegserkrankung COVID-19, bekannt unter der Bezeichnung ‚Corona‘, ist weltweit das beherrschende Thema der letzten Monate.
Infolge diverser Meldungen, Einschränkungen und Empfehlungen hat für Arbeitgeber die Bedeutung der Frage erheblich an Relevanz gewonnen, wie die Kenntnis des Arbeitgebers von der Erkrankung eines Mitarbeiters mit dem Corona-Virus datenschutzrechtlich zu behandeln ist.
Um diesbezüglich zumindest einen gewissen Grad an Sicherheit zu geben, hat die DSK für Arbeitgeber und Dienstherren Informationen veröffentlicht, wie sie den Datenschutz im Zusammenhang mit der Corona-Pandemie versteht.Eine derartige Mitteilung ist begrüßenswert, weil die Verarbeitung von Gesundheitsinformationen eines Mitarbeiters die Verarbeitung besonderer Kategorien an personenbezogenen Daten i.S.d. Art. 9 Abs. 1 DS-GVO darstellt.
Dies vorausgeschickt, hat die DSK einen Maßnahmenkatalog veröffentlicht, der vorsieht, dass die Erhebung von Gesundheitsdaten in Ausnahmesituationen, wie der gegenwärtigen Corona-Pandemie, datenschutzrechtlich legitimiert werden kann. Beispielhaft zählt die DSK die nachstehenden Maßnahmen auf:
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu Fällen:
- in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat oder
- in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
- selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen oder
- sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.
- Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.
Die vorstehende Auflistung ist nicht abschließend, sondern vielmehr als eine Aufzählung von Beispielen zu verstehen.
Die DSK begründet ihren Standpunkt damit, dass die Verarbeitung der Gesundheitsdaten in Zusammenhang mit Corona aufgrund einer konkreten und einzelfallbezogenen Einwilligung des erkrankten Mitarbeiters (Art. 6 Abs. 1 S. 1 lit. a DSGVO) zulässig sein kann. Daneben können derzeit für die Verarbeitung der entsprechenden Gesundheitsdaten auch andere Rechtsgrundlagen in Betracht gezogen werden (z.B. bei öffentlichen Arbeitgebern Art. 6 Abs. 1 Satz 1 lit. e) DSGVO oder bei nicht öffentlichen Arbeitgebern § 26 Abs 1 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f) DSGVO). Zwar sind entsprechende Verarbeitungen vor dem Hintergrund der Verhältnismäßigkeit durchzuführen. Gleichwohl leitet die DSK zugunsten des Arbeitgebers, aus seiner arbeitsrechtlichen Fürsorgepflicht gegenüber den Beschäftigen, eine Offenlegungsbefugnis bezüglich personenbezogener Daten der Kontaktperson ab und nimmt den Rechtfertigungsgrund aus Art. 6 Abs. 1 lit. c) und f) an.
